Join
DevilOps
@devilops
troubleshooting
September 2, 2021

Windows Terminal services + ошибки установки принтеров Kyocera 0x0000011b

Симптомы: большое количество обращений от пользователей о невозможности распечатать. При добавлении принтера HP 201dw или Kyocera 3040 под пользователем идет скачивание драйверов, и затем - ошибка 0x0000011b

Данная ситуация, как оказалось, была вызвана одним из патчей Microsoft по устранению уязвимости Print Nightmare, описанной в этой статье

Из статьи Майкрософт (полный текст статьи доступен по ссылке):

Windows обновлений, выпущенных 10 августа 2021 г. и более поздних версий, для установки драйверов по умолчанию требуются права администратора. Мы внося это изменение в поведение по умолчанию, чтобы снизить риск на всех Windows, включая устройства, которые не используют функции Point и Print или Print. Дополнительные сведения см. в пунктах Изменение поведения по умолчанию и CVE-2021–34481.
По умолчанию пользователи без прав администратора больше не могут делать следующее с помощью точки и печати:
Установка новых принтеров с помощью драйверов на удаленном компьютере или сервере
Обновление существующих драйверов принтера с помощью драйверов с удаленного компьютера или сервера

Однако, после установки обновлений, становится невозможным устанавливать принтеры с драйверами Type 3 - при этом, драйвера Type 4 устанавливаются без проблем, т.к. не требуют повышения привилегий.

Так же оказалось, что при установке универсальных драйверов устройств часть проблем решить возможно, но это не является полным и правильным решением проблемы.

Быстрым решением проблемы было создание групповой политики, отключающую настройку безопасности по умолчанию, либо запуска команды, создающей требуемый ключ. Команда приведена ниже. Соответственно, групповая политика должна включать в себя добавление данного ключа реестра, а так же настройки, отраженные на скриншоте ниже

reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint" /v RestrictDriverInstallationToAdministrators /t REG_DWORD /d 1 /f

Т.о., было выявлено два решения проблемы с принтерами:

  1. Как описано в KB5005652, можно устнановить HKLM\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint\RestrictDriverInstallationtoAdministrators в 0. Однако, даже если выставить остальные настройки групповой политики, в статье по КВ говорится "Эти настройки не полностью закрывают уязвимости в CVE-2021-34481"
  2. Использовать настройки Компьютера (не пользователя) в групповых политиках, для пре-установки нужных драйверов.
@thomaskovenant
September 2, 2021, 13:02
0 views
0 reactions